Перейти к содержанию

Неизлечимый MEM:Trojan.Win32.SEPEH.gen


Рекомендуемые сообщения

Здравствуйте. Нужна помощь в удалении трояна, так как KES вылечить его не может.

 
Результат:     Обнаружено: MEM:Trojan.Win32.SEPEH.gen
Объект:     System Memory
Причина:     Экспертный анализ
 

Установленный Kaspersky Endpoint Security 11.1.1.126 (лицензия) постоянно находит данный троян в памяти и включает "Активное лечение" но это не даёт результата.

Полную проверку на максимальных настройках проводили, результата не даёт, т.е. даёт опять его обнаружение в памяти и новое активное лечение и так так до сих пор.

 

1. Данным трояном заражено 14 компьютеров. Поэтому возникает вопрос перед началом лечения, возможно данный троян распространяется по локальной сети ? Так как лечить сразу все 14 компьютером нет возможности. Т.е.Отключать сеть ?

 

2. И перед сбором логов, что делать с Kaspersky Endpoint Security. Как ловить данного трояна, если Kaspersky Endpoint Security молчит значит его нет в памяти, а когда он по неизвестным причинам появляется, его уже перехватывает Kaspersky Endpoint Security и начинает лечить.

 

3. На компьютере установлен Netop School 6.23, не может быть эта реакция на данное ПО и просто ложным ?

 

В общем, чего делать ? Первый раз в жизни столкнулся с тем что антивирусник Kaspersky не может победить :-(

Изменено пользователем noVel
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

И перед сбором логов, что делать с Kaspersky Endpoint Security

Если есть возможность отключить, отключите. Если нет, собирайте с включенным.
Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

Было разное расположение запуска  AdwCleaner  поэтому два варианта, так как размер оказался разный.  Главный AdwCleanerS01.txt

AdwCleanerS00.txt

AdwCleanerS01.txt

Изменено пользователем noVel
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

В антивирусе очистите отчеты и события. Сделайте ещё раз полную проверку.

По логам - ничего плохого не видно.

 

Параллельно можете создать запрос в тех-поддержку.

Ссылка на сообщение
Поделиться на другие сайты

В антивирусе очистите отчеты и события. Сделайте ещё раз полную проверку.

По логам - ничего плохого не видно.

 

Параллельно можете создать запрос в тех-поддержку.

Ничего уже не понимаю. Отчёты очистили, локальную проверку запускаю, ничего не находит. Запуская полную проверку через сервер администрирования находит ...

В техподдержку написал.

2b3b11a42af7.jpg

Изменено пользователем noVel
Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

 

 


Результат здесь сообщите, пожалуйста.

Срабатывание оказалось ложным. 

Несколько раз отсылали трассировки, потом обновляли базы, мы проверяли. Вот с понедельника полёт нормальный :)

 

[РЕШЕНО]

Ссылка на сообщение
Поделиться на другие сайты

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От LodveGo
      Обнаружил с помощью касперского троян MEM:Trojan.Win32.SEPEH.gen. Помогите с его удалением.
      CollectionLog-2021.05.27-22.33.zip
    • От shime
      Вчера касперский разозлился на данный троян, лечил с перезагрузкой - появился заново. Сегодня перепробовал все программы: Kaspersky Virus Removal Tool, DrWeb CureIt!, AdwCleaner, всё равно ничего не помогает
       
      CollectionLog-2021.05.24-21.38.zip
    • От Муришна
      В нашу локальную сеть пробрались такие приколы как : 
      MEM:Trojan.Win32.EquationDrug.gen MEM:Trojan.Win32.SEPEH.gen MEM:Rootkit.Win64.EquationDrug.a и т.п.
      Удаляем через KSC 11 со всех зараженных, но после перезагрузки они возвращаются более озлобленные. 
      Помогите решить проблему. Как бороться с этой напастью?
    • От BLACK8ELEMENT
      Добрый день!
      Антивирус Касперского 11.5 не может полностью удалить вирус mem:trojan.win32.sepeh.gen
      После перезагрузки компьютера он вновь находится
       
      CollectionLog-2021.04.16-18.00.zip
    • От Александр Тихоненко
      Здравствуйте, компы начали хаотично заражаться mem trojan.win32.sepeh.gen. На всех установлен kaspersky endpoint security 10/11. Вирус обнаруживается, лечится с перезагрузкой и через определенное время происходит всё тоже самое.
      CollectionLog-2019.09.12-14.43.zip
×
×
  • Создать...